Piekļuves tiesību īstenošana, pārnesamība: kādas ir pārstāvja pilnvaras?

Juridiskā uzraudzība Nr. 35 — 2021. gada maijs

Piekļuves tiesību īstenošana, pārnesamība: kādas ir pārstāvja pilnvaras? Daži datu pārziņi varēja pamatoti paust savu neizpratni pēc tam, kad saņēma pieprasījums no uzņēmuma, kam ir tiesības iegūt datus no sava klientu faila, jo īpaši, ja pieprasījumā ir ietvertas īpaši plašas prasības, piemēram, attiecībā uz personas datu nosūtīšanu bez laika ierobežojuma vai automātiskas piekļuves datu iegūšanai prasību.

Vadītājs var pamatoti apšaubīt klientu datu atkārtotas izmantošanas riskus un iespējamos konkurences kropļojumus, kas no tā varētu rasties.

Tomēr principā šāda prakse ir likumīga.

To paredz GDPR un Datu aizsardzības likuma īstenošanas dekrēta 77. pants, un tā mērķis ir atvieglot piekļuves, iebildumu vai pat datu pārnesamības tiesību īstenošanu, ļaujot attiecīgajām personām vērsties pie pārstāvja, lai īstenotu savas tiesības.

Kā mēs varam saglabāt indivīdu kontroli pār saviem datiem, ļaujot trešajai personai īstenot šīs tiesības, vienlaikus izvairoties no ļaunprātīgas izmantošanas, kas varētu rasties ļaunprātīgu pilnvaru rezultātā?

Aģentam ir skaidri jādefinē sava mandāta apjoms, un vadītājam, kurš saņem šādu pieprasījumu, ir jāpārbauda šī mandāta derīgums.

CNIL nesen uzsāka sabiedrisko apspriešanu par ieteikuma projektu, kura mērķis ir precizēt šīs jaunās prakses ietvaru.

Tā ir arī publicējusi standarta mandātu, kas var kalpot par atsauci aģentiem un datu pārziņiem.

Dažiem aspektiem jāpievērš īpaša uzmanība, un tie varētu attaisnot datu pārziņa pieprasījumu pēc papildu informācijas pirms attiecīgo datu nosūtīšanas.

• Dati, kas ļauj pilnvarā skaidri identificēt personu, kuras labā tiesības tiek īstenotas (piemēram, identifikators, dzimšanas datums, pēdējās pieslēgšanās datums)

• Saņēmēja, kuram dati tiek pārsūtīti, identifikācija (tas var būt pārstāvis vai attiecīgā persona)

• Pilnvaras autentiskums (elektroniskā paraksta esamība), tās darbības joma un ilgums. Jānorāda dati vai datu kategorijas. CNIL uzskata, ka uz nenoteiktu laiku noteikta pilnvara neatbilst likuma prasībām.

• Ja pārsūtīšana tiek veikta elektroniski, jo īpaši izmantojot lietojumprogrammu saskarni (API), tai jābūt stabilai, ar augstu pieejamības līmeni un integrētiem drošības pasākumiem, kas pielāgoti riskiem. CNIL ir iebildumi pret datu ieguves metodēm, kas ļauj no attiecīgās personas iegūt lietotājvārdu un paroli, lai automātiski iegūtu datus.

Ja datu pārzinim rodas šaubas par pilnvarojuma derīgumu, tam ir jāpamato atteikums piešķirt piekļuves pieprasījumu saskaņā ar VDAR 12.6. pantu.

Tas varētu būt, piemēram, ja pastāv pamatotas šaubas par attiecīgās personas identitāti, kuru dēļ būs jāiegūst papildu informācija no šīs personas vai pārstāvja.

Pilnvaras gadījumā, tāpat kā klasiska piekļuves pieprasījuma gadījumā, datu pārziņa atbildes laiks ir viens mēnesis.

Kā ir ar iespējamo šo datu atkārtotu izmantošanu no aģenta puses saviem mērķiem?

Šī ir atsevišķa apstrādes darbība, kurai jāatbilst GDPR juridiskajām prasībām.

Attiecīgajai personai jebkurā gadījumā vajadzētu būt iespējai katrā atsevišķā gadījumā pieņemt vai noraidīt katru atkārtotu izmantošanu, ko paredz pārstāvis.

Ņemiet vērā, ka CNIL, tāpat kā Eiropas Datu aizsardzības komiteja, uzskata, ka "aģentiem nevajadzētu atkārtoti izmantot datus, kas attiecas uz trešajām personām, saviem mērķiem", kas tiktu uzskatīts par trešo personu tiesību un brīvību pārkāpumu.

Un arī

Francija:

Savā 2020. gada darbības pārskatā CNIL izvērtē gada spilgtākos notikumus un jo īpaši pandēmijas krīzes ietekmi uz pamattiesībām.

Trīs gadus pēc GDPR stāšanās spēkā viņa norāda, ka pastāvīgs sūdzību skaita pieaugums – vairāk nekā 62% šogad, un noteikušas 14 sankcijas, tostarp 11 naudas sodus 138 miljonu eiro apmērā.

THE Komisijas prioritātes iekļaut

• Jaunie noteikumi par sīkdatnēm (nesen tika pārbaudītas aptuveni divdesmit organizācijas),
• Kiberdrošība un
• Digitālā suverenitāte.

CNIL arī paziņo par perspektīvu darbu, kas veltīts saiknei starp datu aizsardzību un vides jautājumiem, kas saistīti ar klimata pārmaiņām.

Arī CNIL paziņoja čeki aptiekās lai pārbaudītu apstākļus, kādos uzņēmums Iqvia vāc klientu datus patoloģiju analīzes nolūkos.

Šīs pārbaudes notiek pēc tam, kad maija vidū tika publicēts ziņojums par personas datu izmantošanu, kas izraisīja daudzas reakcijas.

Komisija visbeidzot norādīja, ka tā ir par labu veselības kartes izveidei ar nosacījumu, ka tiek nodrošinātas datu apstrādes garantijas un ka caurlaide tiek izmantota tikai veselības krīzes laikā.

3. jūnijā tā publicēja savu trešo atzinumu par pandēmijas apkarošanas pasākumiem.

Konstitucionālā padome 20. maijā pieņēma lēmumu par “Globālās drošības” likumu.

Tas cenzē 24. pantu, kas attiecas uz tiesībaizsardzības spēku attēlu “ļaunprātīgas” izplatīšanas kriminalizāciju, kā arī lielu daļu 47. un 48. panta, kas organizēja novērošanu ar droniem, īpaši demonstrāciju laikā, un kameru izmantošanu uz lidmašīnas. tiesībaizsardzības transportlīdzekļi un lidmašīnas.

Eiropa:

Vairāki pilsoniskās sabiedrības dalībnieki 26. maijā ierosināja sūdzības pret sejas atpazīšanas uzņēmumu Clearview, īpaši Francijā, Austrijā, Itālijā, Grieķijā un Apvienotajā Karalistē.

Tur Eiropas Cilvēktiesību tiesa 25. maijā Apvienotās Karalistes Augstākā tiesa vienbalsīgi nolēma, ka Apvienotās Karalistes plaši izplatītais novērošanas režīms, ko 2013. gadā publiskoja Edvards Snoudens, pārkāpj Eiropas Cilvēktiesību konvencijas 8. pantu par privātuma aizsardzību.

Eiropas Datu aizsardzības kolēģija 20. maijā pieņēma divus rīcības kodeksus pēc tam, kad Francijas un Beļģijas iestādes bija pieņēmušas lēmumus par mākoņpakalpojumiem: Beļģijai šis ir lēmums par ES mākoņpakalpojumu rīcības kodeksu, bet Francijai — CISPE par Eiropas mākoņinfrastruktūras pakalpojumu sniedzējiem.

Komiteja 2. jūnijā publicēja arī savu 2020. gada darbības pārskatu.

Eiropas Datu aizsardzības uzraudzītājs uzsāk divas izmeklēšanas par Amazon un Microsoft mākoņpakalpojumu izmantošanu Eiropas iestādēs.

Šo izmeklēšanu mērķis ir pārbaudīt apstrādes apstākļus un jo īpaši datu pārsūtīšanu, ko šie uzņēmumi veic uz Amerikas Savienotajām Valstīm, ņemot vērā Eiropas Savienības Tiesas nolēmumu Schrems II lietā.

Eiropas Savienība jūnija sākumā publiski paziņoja, ka, lai panāktu vienošanos par datu pārsūtīšanu uz Amerikas Savienotajām Valstīm, pēdējai būs jāpieņem saistoši likumi, kas ļautu Eiropas pilsoņiem aizstāvēties tiesā pret masveida datu vākšanu, ko veic Amerikas valdība.

Starptautiskās:

Nesen publicēts pētījums, ko publicēja Privacy Laws and Business (G. Greenleaf), liecina, ka globālais privātuma atjauninājumsTajā teikts, ka valstu skaits, kuras ir pieņēmušas datu aizsardzības likumus, ir pieaudzis no 132 līdz 145, savukārt vēl 23 valstīs likumprojekti ir izstrādes stadijā.

Brazīlija: Tāpat kā vairākas Eiropas iestādes, Brazīlijas uzraudzības iestāde pieprasa, lai WhatsApp apturētu savu jauno privātuma politiku, līdz tiks pabeigta izmeklēšana par tās sekām datu aizsardzības un konkurences jomā.

Anna Kristīna Lakoste

Olivier Weber Avocat partnere Anna Kristīne Lakosta ir juriste, kas specializējas datu tiesībās; viņa bija Eiropas Datu aizsardzības uzraudzītāja starptautisko attiecību vadītāja un strādāja pie GDPR ieviešanas Eiropas Savienībā.